table of contents
- bookworm-backports 4.24.0-2~bpo12+1
- testing 4.24.0-2
- unstable 4.24.0-2
RPMSIGN(8) | RPMSIGN(8) |
BEZEICHNUNG¶
rpmsign - RPM-Paket-Signierung
ÜBERSICHT¶
SIGNIERUNG VON PAKETEN:¶
rpm --addsign|--resign [Rpmsign-Optionen] PAKETDATEI …
rpm --delsign PAKETDATEI …
rpm --delfilesign PAKETDATEI …
Rpmsign-Optionen¶
[--rpmv3] [--fskpath SCHLÜSSEL] [--signfiles]
BESCHREIBUNG¶
Sowohl die Option --addsign als auch --resign erzeugen neue Signaturen für jedes angegebene Paket PAKETDATEI und fügen sie ein. Sie ersetzten damit bereits vorhandene Signaturen. Aus historischen Gründen gibt es zwei Optionen, die sich momentan identisch verhalten.
Zur Generierung einer Signatur muss rpm(8) die Prüfsumme des Paketes verifizieren. Deshalb können Pakete mit MD5/SHA1-Prüfsummen nicht im FIPS-Modus signiert werden.
rpm --delsign PAKETDATEI …
Löscht alle Signaturen von jedem angegebenen Paket PAKETDATEI.
rpm --delfilesign PAKETDATEI …
Löscht alle »IMA«- und »fsverity«-Datei-Signaturen von jedem angegebenen Paket PAKETDATEI.
OPTIONEN ZUM SIGNIEREN¶
- --rpmv3
- Erzwingt das Hinzufügen von RPM-V3-Kopf- und RPM-V3-Nutzdaten-Signaturen. Diese sind teuer und eine redundante Last für Pakete, wenn ein separater Nutzdaten-Hash existiert (Pakete, die mit RPM >= 4.14 gebaut wurden). RPM erkennt eine Notwendigkeit von V3-Signaturen automatisch; diese Option kann aber verwendet werden, um ihre Erzeugung zu erzwingen, falls die Signatur der Pakete mit RPM < 4.14 voll überprüfbar sein muss oder aus anderen Gründen der Interoperabilität.
- --fskpath SCHLÜSSEL
- Verwendet mit --signfiles, verwendet Dateisignierungsschlüssel SCHLÜSSEL.
- --certpath ZERTIFIKAT
- Verwendet mit --signverity, verwendet Dateisignierungszertifikat ZERTIFIKAT.
- --verityalgo ALG
- Mit --signverity verwendet, um den Algorithmus zur Signierung vorzugeben. SHA256 und SHA512 werden unterstützt, wobei SHA256 die Voreinstellung ist, wenn dieses Argument nicht angegeben ist. Er kann auch mit dem Makro %_verity_algorithm angegeben werden.
- --signfiles
- Signiert Paketdateien. Das Makro %_binary_filedigest_algorithm muss vor dem Bau des Paketes auf einen unterstützten Algorithmus gesetzt werden. Die unterstützten Algorithmen sind SHA1, SHA256, SHA384 und SHA512, die mit 2, 8, 9 und 10 entsprechend repräsentiert werden. Der Dateisignierungsschlüssel (privater RSA-Schlüssel) muss vor dem Signieren des Paketes gesetzt sein. Er kann auf der Befehlszeile mit --fskpath oder dem Makro %_file_signing_key konfiguriert werden.
- --signverity
- Signiert Paketdateien mit »fsverify«-Signaturen. Der Dateisignierungsschlüssel (privater RSA-Schlüssel) und das Dateisignierungszertifikat müssen vor dem Signieren des Paketes gesetzt sein. Der Schlüssel kann auf der Befehlszeile mit --fskpath oder dem Makro %_file_signing_key und das Zertifikat auf der Befehlszeile mit --certpath oder dem Makro %_file_signing_cert konfiguriert werden.
VERWENDUNG VON GPG ZUR SIGNIERUNG VON PAKETEN¶
Um Pakete mit GPG signieren zu können, muss rpm(8) konfiguriert sein, GPG starten zu können und in der Lage sein, den richtigen Schlüsselbund mit den passenden Schlüsseln zu finden. In der Voreinstellung verwendet rpm(8) die gleichen Konventionen wie GPG, um Schlüsselbunde zu finden, und zwar die Umgebungsvariable $GNUPGHOME. Wenn Ihre Schlüsselbunde nicht dort abgelegt sind, wo GPG sie erwartet, dann müssen Sie das Makro %_gpg_path so konfigurieren, dass es den Ort der zu verwendenden GPG-Schlüsselbunde enthält. Wenn Sie in der Lage sein wollen, Pakete zu signieren, die Sie selbst erzeugt haben, müssen Sie ebenso Ihr eigenes öffentliches und privates Schlüsselpaar erzeugen (schauen Sie dazu in das GPG-Handbuch). Sie werden auch die rpm(8)-Makros konfigurieren müssen.
- %_gpg_name
- Der Name des »Benutzers«, dessen Schlüssel Sie zur Signierung Ihrer Pakete verwenden möchten.
Um zum Beispiel GPG zur Signierung von Paketen als der Benutzer »John Doe <jdoe@foo.com>« unter Verwendung der ausführbaren Datei /usr/bin/gpg mit den Schlüsselbunden verwenden zu können, die in /etc/rpm/.gpg liegen, würden Sie
-
%_gpg_path /etc/rpm/.gpg %_gpg_name John Doe <jdoe@foo.com> %__gpg /usr/bin/gpg
in eine Makro-Konfigurationsdatei einbinden. Verwenden Sie /etc/rpm/macros für systemweite Konfigurationen und ~/.rpmmacros für benutzerspezifische Konfigurationen. Üblicherweise ist es ausreichend, nur %_gpg_name zu setzen.
SIEHE AUCH¶
-
popt(3), rpm(8), rpmdb(8), rpmkeys(8), rpm2cpio(8), rpmbuild(8), rpmspec(8)
rpmsign --help - wie RPM die Anpassung der Optionen mittels »popt«-Aliase unterstützt, ist es unmöglich zu garantieren, dass alles, was im Handbuch beschrieben ist, mit dem übereinstimmt, was verfügbar ist.
AUTOREN¶
-
Marc Ewing <marc@redhat.com> Jeff Johnson <jbj@redhat.com> Erik Troan <ewt@redhat.com> Panu Matilainen <pmatilai@redhat.com> Fionnuala Gunter <fin@linux.vnet.ibm.com> Jes Sorensen <jsorensen@fb.com>
ÜBERSETZUNG¶
Die deutsche Übersetzung dieser Handbuchseite wurde von Christoph Brinkhaus <c.brinkhaus@t-online.de> erstellt.
Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.
Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer.
Red Hat, Inc |